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Abstract of EP1136896 

The system includes at least one first computer 
(7) on which a control program is loaded for 
detection, processing and/or outputting process 
and control data (19) for the automation system. 
On at least one second computer, an identical 
second control program (10) is loaded. The 
second program waits for a predetermined 
program stage. A data updating program (42) is 
loaded and run on the first and the second 
computer. This program detects the current data 
values of the first control program of the first 
computer at a predetermined program stage, 
transfers them to the second computer, and 
stores them at the corresponding locations in the 
program sequence and in reserved memory 
locations of the second, waiting control program. 
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(54) Hochverf Qgbares Rechnersystem und Verfahren zur Umschartung von 
Bearbertungsprogrammen eines hochverf ugbaren Rechnersystems 



(57) Die Erfindung betrffft ein hochverfugbares 
Rechnersystem (6) sowie ein Verfahren zur Umschal- 
tung von Bearbeitungsprogrammen eines hochverf ug- 
baren Rechnersystems (6). Das Rechnersystem (6) be- 
steht aus mindestens einem ersten (7) und mindestens 
einem zweiten (9) Rechner. Auf dem ersten Rechner (7) 
ist mindestens ein erstes Steuerungsprogramm (8) ge- 
laden, das zur Erfassung, Verarbeitung und/oder Aus- 
gabe von Prozess-(17, 40) und/oder Steuerungsdaten 
(1 9) von und/oder an ein Automatisierungssystem vor- 
gesehen ist. Auf dem zweiten Rechner (9) ist minde- 



stens ein zum ersten Steuerungsprogramm (8) identi- 
sches zweites Steuerungsprogramm (10) geiaden, das 
an einer vorgebbaren Programmstelle wartet. Weiter 
sind auf dem ersten (7) und auf dem zweiten (9) Rech- 
ner je ein Datenaktualisierungsprogramm (42) geiaden 
und gestartet, die die aktuellen Datenwerte des ersten 
Steuerungsprogramms (8) des ersten Rechners (7) an 
einer vorgebbaren Programmstelle erfassen, an den 
zweiten Rechner (9) Qbertragen und an den entspre- 
chenden Stellen im Programmablauf und in reservierten 
Speicherbereichen (41) des zweiten wartenden Steue- 
rungsprogramms (10) hinterlegen. 
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Beschrelbung 

[0001] Die Erfindung betrifft ein hochverfugbares 
Rechnersystem sowie ein Verfahren zur Umschaltung 
von Bearbeitungsprogrammen eines hochverfugbaren 
Rechnersystems. 

[0002] Der Erfindung liegt die Aufgabe zugrunde ein 

hochverfugbares Rechnersystem bzw. ein Verfahren 

zur Umschaitung von Bearbeitungsprogrammen eines 

hochverfugbaren Rechnersystems anzugeben, das ins* 

besondere auch in der Automatisierungstechnik mog- 

lichst uneingeschrankt einsetzbar ist. 

[0003] Diese Aufgabe wir durch ein Rechnersystem 

sowie durch ein Verfahren mit den in den Anspruchen 

1 bzw. 7 angegebenen Merkmalen gelost. 

[0004] Vorteilhafte Ausgestaltungen ergeben sich 

aus den Unteranspruchen. 

[0005] Der Erfindung iiegt die Erkenntnis zugrunde, 
dass in der Automatisierungstechnik das Problem be- 
steht, dass keine der spater noch erlauterten und ais 
"hot standby", "warm standby" bzw. "cold standby" be- 
zeichneten Ablosekonfigurationen fur einen ausgefalle- 
nen Hauptrechner durch einen Ersatzrechner uneinge- 
schrankt einsetzbar ist. Dies hat seine Ursache darin, 
dass die von einem sogenannten Automatisierungssy- 
stem, z. B. einerspeicherprogrammierbaren Steuerung, 
einem Prozessrechneroder einem Industrie-PC.zu ver- 
arbeitenden Prozessdaten zum uberwiegenden Teil 
physikalische Messwerte darstellen, weiche sporadi- 
schen, nahezu nicht vorhersagbaren Storungen oder 
Schwankungen ausgesetzt sind. Hierdurch ist es nicht 
ohne weiteres moglich, eine der oben aufgefuhrten, be- 
kannten Standby-Verfahren fur den Ersatzrechner ei- 
nes Automatisierungssystems Oder einen sogenannten 
Steuerungsrechner einzusetzen. 
[0006] Wenn ein Rechner durch einen Fehler in der 
Hardware Oder durch eine Storung der Systemsoftware 
ausfallt, so sind naturgemaB hiervon auch alle auf die- 
sem Rechner aktuell in Bearbeitung befindlichen An- 
wenderprogramme, des weiteren auch Tasks genannt, 
betroffen. Diese konnen nicht weiterbearbeitet werden, 
d. h. sie fallen ebenfalls aus. Urn die Bearbeitung von 
Tasks bei einem Rechnerausfall moglichst schnell fort- 
setzen zu konnen, kann ein Ersatzrechner bereitstehen, 
weicher ublicherweise ais "Standby-System" bezeich- 
net wird. Auf diesem kann die Bearbeitung fortgesetzt 
werden. 

[0007] Insbesondere abhangig vom Typ der jeweili- 
gen Tasks sind Ablaufe zu definieren, weiche die Art und 
Weise der Umschaltung auf das Standby-System und 
der Fortsetzung der Bearbeitung der jeweiiigen Tasks 
betreffen. So ist es das Ziel, z. B. bei der Steuerung von 
kontinuieriichen Anwendungs-/ bzw. Steuerungspro- 
zessen in der verfahrens- und fertigungstechnischen 
Produktion, z. B. bei Produktionsprozessen in derche- 
mischen Industrie, dass ein ausgefallenes Steuerungs- 
programm auf dem Ersatzsystem moglichst ohne Ruck- 
wirkung auf den Produktionsprozess weiterbearbeitet 



werden kann, d. h. der Produktions-Prozess darf von 
der Umschaltung moglichst quasi nichts "merken". An- 
demfalls waren Schwankungen in der Prozessfuhrung 
unvermeidlich, weiche zumindest vorubergehende Ein- 
5 buBen in der jeweiiigen Produktqualitat bzw. im Extrem- 
fall sogar eine Notabschaitung der prozesstechnischen 
Anlage zur Folge hatten. 

[0008] Steuerungsprogramme sind Tasks, weiche zy- 
klisch bearbeitet werden, iterativ aktuelle Messwerte 

10 und Signale von Messgebem einlesen, die in der pro- 
zesstechnischen Anlage installiert sind, diese mit Vor- 
gabewerten in Bezug setzen, hieraus resuttierende 
Steilwerte ermitteln und diese wieder an entsprechende 
Geber in der prozesstechnischen Anlage ausgeben. 

15 [0009] Urn bei einem Ausfall des dazugehdrigen 
Rechners und damit der darauf ablaufenden Steue- 
rungstask die Prozessbearbeitung auf einem anderen 
Rechner moglichst nahtlos fortsetzen zu konnen, muss 
auf diesem Ersatzrechner zumindest eine entsprechen- 

20 de, identische Steuerungstask vorhanden sein. Femer 
mussen zumindest auf dem Ersatzrechner Programme 
vorhanden sein, weiche es im Falle einer Aktivierung 
dem Ersatzrechner ermoglichen, die Prozesssteuerung 
moglichst sprunglos fortzusetzen. Fur diesen Vorgang 

25 der Ablosung eines Hauptrechners durch einen Ersatz- 
rechner, fur die Erhdhung der Verfugbarkeit eines 
Hauptrechners durch die Verwendung eines Ersatz- 
rechners im Fehlerf all gibt es die drei f olgenden bekann- 
ten Redundanzkonzepte. Diese werden ais "hot stand- 

30 by", "warm standby" und "cold standby" des Ersatzrech- 
ners bezeichnet. 

[0010] Beim sogenannten "hot standby" eines Ersatz- 
rechners werden sowohi auf dem Hauptrechner ais 
auch auf dem Ersatzrechner gleichzeitig identische 

35 Steuerungstasks ausgefuhrt, weiche auf die gleichen 
aktuellen Messwerte und Signale zuruckgreifen, die von 
den Messgebem des technischen Prozesses gelesen 
werden. Bei Ausfall des Hauptrechners kann der Ersatz- 
rechner die Prozessfuhrung durch Aufschaltung auf 

40 denselben sofort ubernehmen. Diese sehr aufwendige 
Losung beinhaltet einige Nachteile. Zum einen ist der 
Ersatzrechner aufgrund der parallelen Ausfuhrung der 
identischen Steuerungstasks unter Umstanden so be- 
iastet, dass keine anderen Tasks mehr ablaut en kon- 

45 nen. Der Ersatzrechner kann somit zum Zwecke der 
Durchfuhrung des "hot standby" Betriebes voilstandig 
ausgelastet sein. Femer besteht das wertere Problem, 
dass der Ablauf der Steuerungstask auf dem Haupt- 
rechner und der parallele Ablauf der identischen Steue- 

so rungstask auf dem Ersatzrechner regelmaBig mit Hilfe 
von u. U. aufwendigen Datenaustauschvorgangen syn- 
ch ronisiert werden mussen. Dies hat seine Ursache dar- 
in, dass auf Grund von Bauteiletoleranzen auch bei 
identischen Rechnem mittelfristigeine Auseinanderlau- 

55 fen der Bearbeitungszustande nicht vermeidbar ist. Ein 
weiterer, wesentlicher Nachteii wird darin gesehen, 
dass mit einer auf dem Prinzip des "hot standby" beru- 
henden Verbindung eines Hauptrechners und eines Er- 
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satzrechners zwar ein Weiterbetrieb des technischen 
Prozesses bei einem Ausfall in der Hardware des 
Hauptrechners gewahrleistet ist. Aufgrund der sehr en- 
gen Bearbeitungssynchronrtat derSteuerungstasks auf 
dem Haupt- und dem Ersatzrechner konnen aber ins- s 
besondere softwarebedingte und vom Auftreten eines 
ganz bestimmten, u. U. seltenen Systemzustands ab- 
hanglge Fehler auf beiden Systemen gletehzefflg auf- 
treten. Hierdurch kann glelchzeitig ein sogenannter Ab- 
sturz sowohl des Haupt- als auch des Ersatzrechners io 
verursacht werden. 

[001 1 J Bei einem sogenannten "warm standby" ist der 
Ersatzrechner zwar in Betrieb und mit Hilfe von spezi- 
ellen Ubemahmeroutinen darauf vorbereitet, dass im 
Fade eines Fehlers im Hauptrechner die dort nicht mehr is 
bearbeitbaren Programme ausgefuhrt werden soilen. 
Doch muss im Faile einer Ubemahme der letzte konsi- 
stente Datensatz des auf dem Hauptrechner unterbro- 
chenen Tasks rekonstruiert werden. Dies wind in der Da- 
tentechnik auch als sogenanntes "roll back recovery" 20 
bezeichnet. Der Ersatzrechner muss also nach einem 
Ausfali des Hauptrechners und vor Beginn der Weiter- 
bearbeitung des unterbrochenen Tasks erst selbst ei- 
nen guttigen Startzustand errechnen. Hierzu greift der 
Ersatzrechner in der Regei auf ein Speichermedium zu, 25 
welches dem ausgefaiienen Hauptrechner zugeordnet 
ist. In diesem sind Fragmente des ursprunglichen Da- 
tensatz es und gegebenenfalls zusatzlich sogenannte 
"recovery Daten" enthalten, welche in der Regel vom 
Hauptrechner selbst entweder unmitteibar vor dem Aus- 30 
fall oder zyklisch wahrend des Dauerbetriebes hinter- 
legt wurden, und womit eine Rekonstruktion eines eini- 
germaBen gultigen Datensatzes durch den Ersatzrech- 
ner erleichtert werden soil. Wahrend eines derartigen 
"roll back recovery"-Vorganges muss der Ersatzrechner 35 
die im Speichermedium enthaltenen Daten derart uber- 
arbeiten, dass moglichst alle darin enthaltenen und auf 
die vorangegangene nicht ordnungsgemaBe Beendi- 
gung des Tasks auf dem Hauptrechner zuruckzufuhren- 
den Inkonsistenzen bereinigt sind. 40 
[0012] Ein derartiges "roll back recovery" beim "warm 
standby" eines Ersatzrechners weist einige Nachteile 
auf. So benotigt der Ersatzrechner hierfur Rechenzeit, 
so dass die Weiterbearbeitung des unterbrochenen Ta- 
sks nicht sofort nach dem Ausfall des Hauptrechners 45 
moglich ist. Ein wesentlicher Nachteil dieser Strategie 
wird aber darin gesehen, dass ein "roil back recovery" 
nicht mit alien Datenformen m6glich ist. Vielmehr hat es 
sich gezeigt, dass sogenannte Prozessdaten, d. h. Da- 
ten von technischen Produktions- und Verarbeitungs- so 
prozessen, welche in alter Regel analoge Mess- und 
Stelrwerte bzw. blnare Signal- und SteuergrdBen dar- 
stellen, nicht quasi mit umgekehrter Zeitrichtung rekon- 
struiert werden konnen. Dies liegt an der Natur dieser 
Daten, welche standig mit nicht vorhersehbaren, quasi 55 
sporadisch schwankenden Variationen bzw. voruberge- 
henden Storungsabweichungen behaftet sind. Femer 
unterliegt der innere Zustand des technischen Prozes- 
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ses auch nach dem Ausfall des Hauptrechners standi- 
gen Veranderungen. Mit dem Ausfall des Hauptrech- 
ners bleibt der technische Prozess nicht "stehen". Viel- 
mehr kdnnen maBgebltche ProzessgroBen, wie z. B, 
Drucke und Temperaturen u. U. in noch starkerem MaBe 
als vor dem Ausfall Veranderungen unterworfen sein. 
[0013] SchlieBlich stent beim sogenannten "cold 
standby" zwar ein Ersatzrechner zur Verfugung. Dieser 
befindet sich aber nicht im Einsatz und muss bei einer 
Ubernahme der Bearbeitung der Task eines Hauptrech- 
ners erst akliviert werden. 

[0014] Im Folgenden wird die Erfindung an Hand von 
in den nachfolgend kurz angefuhrten Figuren darge- 
stellten Ausfuhrungsbeispielen naher erlautert. Dabei 
zeigt 

FIG 1 : prinzipiell die Fuhrung eines technischen 
Prozesses durch ein hochverf ugbares Auto- 
matisierungssystem Qber eine Pro- 
zessschnittsteile, 

FIG 2 : den Ablaut einer aktiven Steuerungstask auf 
dem Hauptrechner und die Einbindung der 
zur Datenaktualisierung auf dem Ersatz- 
rechner vorgesehenen Unterprogramme, 

FIG 3 : die datentechnische Koppiung eines Haupt- 
und eines Ersatzrechners in einem hochver- 
fugbaren Automatisierungssystem uber ein 
sogenanntes Verfugbarkeitslink, und 

FIG 4 : die Anwendung der Erfindung auf ein Auto- 
matisierungssystem, welches aus einem 
Verbund von mehr als zwei Rechnem be- 
steht. 

[0015] In Figur 1 ist symbolisch ein technischer Pro- 
zess 1 dargestellt. Dieser enthdlt beispieihaft einen 
Handhabungsautomaten 2, wefcher mit SchweiBzan- 
gen 3 bestuckt ist. Hiermit konnen SchweiBpunkte 5 z. 
B. an ausgewahlten Stellen eines zu bearbeitenden Ble- 
ches 4 angebracht werden. Zur Fuhrung eines derarti- 
gen technischen Prozesses 1 werden in der Regel eine 
Vielzahl von analogen und binaren MessgroBen mit Hil- 
fe von Messgebern 16 erfasst, welche an geeigneten 
Stellen verteilt im technischen Prozess 1 angeordnet 
sind. Diese MessgroBen konnen im dargestellten Bei- 
spiel aktuelle Winketpositionen von Greifarmen des 
Handhabungsautomaten 1, Istwerte des SchweiBstro- 
mes, Binarsignale von Endschaltern und vieles mehr 
sein. Diese Werte werden uber eine Datenieitung 17 be- 
vorzugt zyklisch, d. h. in einem vorgegebenen, mog- 
lichst hochfrequenten Takt, von einem hochverfugbaren 
Automatisierungssystem 6 gelesen. Hierdurch werden 
die aktuellen Prozessmesswerte als aktuelle Pro- 
grammdaten z. B. uber einen gegebenenfalls vorhan- 
denen separaten EinVAusgabebereich 13 in das hoch- 
verfugbare Automatisierungssystem 6 geladen. 
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[001 6] Das hochverfugbare Automatisierungssystem 
6 enthait mindestens zwei, bevorzugt baugletche Rech- 
ner Oder autarke Verarbeitungseinheiten. Bei dem in der 
Figur 1 dargestellten Beispiel wirkt der Rechner 7 als 
ein sogenannter Hauptrechner und der Rechner 9 als 
ein sogenannter Ersatzrechner. Jedem Rechner 7, 9 ist 
ein eigener Datenbereich 40 bzw. 41 zugeordnet, in 
dem aktuelle Programmdaten abgelegt oder temporfir 
zwischengespeichertwerden kdnnen. Die Rechner 7, 9 
sind uber eine Datenverbindungsstrecke 12 miteinan- 
der gekoppett, welche des Weiteren als Verbindungslink 
bezeichnet und nachfolgend noch naher eriautert wird. 
Im Hauptrechner 7 werden die jeweils zyklisch von den 
Messgebern 16 neu eingelesenen und bevorzugt uber 
eine weitere Datenleitung 14 vom Ein- und Ausgabebe- 
reich Daten 13 ubergebenen Daten mit Hilfe einer 
Steuerungstask 8 bearbeitet. Diese aktive Task verar- 
beitet die aktueilen Daten des technischen Prozesses 
1 nach prozessspezifischen Kriterien und verkniipft die- 
se gegebenenfalls zusfitzlich mtt Variabienwerten und 
Merkerwerten. Als Ergebnis entstehen Anzeige- und 
Steuerdaten, welche ebenfalls im Takt des Bearbei- 
tungszyklusses der aktiven Steuerungstask 8 uber die 
Datenleitung 14, den Ein- und Ausgabebereich 13, die 
Datenleitung 1 7 uber prozessseitige Anzeige- und Stell- 
gerate 1 8 ausgegeben werden. Uber die Stellgerate 1 8 
kdnnen die Betriebsmrttel des technischen Prozesses 
1, im Beispiel der Handhabungsautomat 2 und die 
SchweiBzangen 3 programm- und ereignisgesteuert 
beeinflusst werden. 

[0017] Bei dem erfindungsgemaBen Redundanzkon- 
zept (siehe Figur 3) fur ein aus zumindest einem Haupt- 
rechner 7 und einem Ersatzrechner 9 bestehendes Au- 
tomatisierungssystem 6 wird die im Fehlerfall uberneh- 
mende Task, welche nachfolgend auch als Standby-Ta- 
sk 10 bezeichnet wird, insbesondere bei der Initialisie- 
rung des Automatisierungssystems 6 auf dem Ersatz- 
system 9 gestartet und in einen die Ubernahme der Be- 
arbeitung ermoglichenden Wartezustand versetzt. 
Nach einem Anlaut des Automatisierungssystems 6 
wartet also die Standby-Task 10 auf eine Anweisung, 
welche die Fortsetzung der Befehlsbearbertung bewirkt. 
Diese Fortsetzungsanweisung tritt bei Ausfall der akti- 
ven Steuerungstask 8 auf dem Hauptrechner 7 auf. Eine 
bevorzugte Warteposition fur die Standby-Task 1 0 liegt 
unmittelbar nach dem Einsprung in deren Bearbeitungs- 
zyklus vor, d. h. vor dem Einlesen 22 der aktueilen Pro- 
zesseingabedaten . 

[0018] Urn die Prozessbearbeitung bei Ausfall des 
Hauptrechners 7 bzw. eines die Weiterbearbeitung der 
Steuerungstask 8 auf dem Hauptrechner 7 unterbre- 
chenden Fehlerzustandes mdglichst nahtlos fortsetzen 
zu kdnnen, muss die wartende Standby-Task 10 mit 
mdglichst aktueilen Bearbeitungsdaten versorgt wer- 
den. Dies wird gemaB der vorliegenden Erfindung da- 
durch erreicht, dass die Daten der aktiven Task 8 der 
identtschen, wartenden Standby-Task 10 zyklisch quasi 
"untergeschoben" werden. Die Standby-Task 10 ist so- 



mit immer mit aktueilen Daten fur den Obemahmefall 
versorgt und kann die Bearbeitung unmittelbar fortset- 
zen. Das Bereitstellen der Daten wird durch eine soge- 
nannte "Aktualisierungstask 0 43, 44 vorgenommen, 
5 welche auf beiden Rechnem 7, 9 des Automatisierungs- 
systems 6 ablauft. 

[0019] Es ist vorteilhaft, wenn zumindest jeweils am 
Zykiusende - nach Ausgabe 24 der Steuerungsdaten - 
die aktueilen Daten der passiven Standby-Task 10 un- 

10 tergeschoben werden (siehe Figur 2). Bei Ausfall der ak- 
tiven Steuerungstask 8 setzt die Ubernahmetask 1 0 auf 
Basis dieser Daten die Bearbeitung mit dem emeuten 
Einlesen der nun aktueilen Eingangsdaten fort. 
[0020] Damit die Aktualisierungstask 43 die Daten auf 

is dem einen Rechner, welcher als Hauptrechner 7 dient, 
von den richtigen Speicherbereichen der aktiven Steue- 
rungstask 8 kopieren kann und die Aktualisierungstask 
44 diese Daten auf dem anderen Rechner, welcher als 
Ersatzrechner 9 dient, der wartenden Standby-Task 10 

20 an die korrespondierenden Speicherbereiche bereitle- 
gen kann, mussen den beiden Aktualisierungstasks 43, 
44 die Adressbereiche 40, 41 der Daten sowohl in der 
aktiven 8 als auch in der Standby-Task 1 0 uber eine ent- 
sprechende Funktion bekannt gemacht werden. Damit 

25 die Aktualisierungstasks 43, 44 folglich Zugriff auf die 
zu transferierenden bzw. einzufugenden Daten haben, 
ist es notwendig, die zu aktualisierenden Daten in einem 
Speicherbereich 40, 41 abzulegen, auf den sowohl die 
Steuerungstask 8, 10 als auch die Aktualisierungstasks 

30 43, 44 Zugriff haben. 

[0021] Je nach Abbruchpunkt der aktiven Task 8 wird 
das Einlesen der Steuerungsdaten und die Bearbeitung 
bis zur Abbruchstelle wiederhort. Fallt die aktive Task 8 
bei der Ausgabe aus, so muss die gesamte Zyklusbe- 

35 arbeitung einschlieBlich dem Einlesen der Steuerungs- 
daten wiederhort werden - worst case. Ist diese Zeit fur 
eine kontinuierliche Fortsetzung des zu steuernden 
oder zu regeinden Prozesses 1 nicht tragbar, so kann 
die Aktualisierung der Daten der wartenden Task 1 0 an 

40 mehreren Stellen erfolgen. In diesem Fall werden auch 
die zuletzt gelesenen Eingangsdaten des aktiven Pro- 
grammes 8 transferiert und die Fortsetzung des passi- 
ven Programmes 10 erfolgt im Obemahmefall an dem 
zuletzt aktualisierten Punkt. 

45 [0022] Ursache des Ausfails der aktiven Steuerungs- 
task 8 kann ein HW- oder SW-Fehler im System, auf 
dem die aktive Task 8 lauft, sein. In vielen Fallen fuhrt 
ein Fehler zu einer entsprechenden Fehlerbehand- 
lungsroutine oder einer Prozessorinterrupt Behandlung. 

so im Rahmen der Fehlerbehandlung kann das System in 
der Regel noch uber eine entsprechende Ausnahmebe- 
handlung explizlt seine Deaktlvierung an das Standby- 
System 10 meiden; d. h. die Fortsetzung derwartenden 
Standby-Task 10 initiieren und die evtl. noch laufende 

55 (aktive) Task 8 deaktivieren. 

[0023] Damit auch ein plotzlicher Totalausfall des 
Hauptrechners 7, auf dem die aktive Task 8 ablauft, er- 
kannt wird, werden zwischen den Systemen 7, 9 von 
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entsprechenden Tasks 51 , 52 zyklisch Lebensuberwa- 
chungsmeldungen 53 {Tm alive messaged), ausge- 
tauscht (s. Figur 3). Bei Ausbleiben einer entsprechen- 
den Meldung 53 wird von dem AusfaM des Systems 7, 
9 ausgegangen, dessen Meldung 53 nicht in der verein- 
barten Zykluszeit empfangen wurde. Mrt dem Ausblei- 
ben einer Lebensuberwachungsmeldung 53 wird auch 
das eigene Senden einer Lebensuberwachungsmel- 
dung 53 ausgesetzt. Bleibt die Uberwachungsmeldung 
53 von dem System 7 aus, auf dem die aktive Task 8 
lauft, so wird von dem Standby-System 9 die Aktivierung 
der wartenden Standby-Task 10 vorgenommen (ein- 
schlieBlich der Gbernahme der notwendigen dezentral 
angeschlossenen Peripherie). Die Fehlererkennungs- 
zeit bzw. Umschaltzeit 1st in diesem Fall abhangig von 
der Zykluszeit der LebensGberwachungsmeldungen 53. 
Bleibt die Lebensuberwachungsmeldung 53 vom 
Standby-System 9 aus, so wird der Ausfall des Standby- 
Systems 9 vermerkt und im Fehlerfall keine Umschal- 
tung inrtiiert. 

[0024] Da im Umschaltfall durch die Aktivierung der 
wartenden Standby-Task 1 0 eine zusatzliche Bearbei- 
tungslast auf dem Standby-System 9 entsteht, kann es 
vorkommen, dass das ubemehmende System 9 uber- 
iastet ist, d. h. dass die geforderte Zykluszeit nicht mehr 
eingehalten werden kann. Urn dem zuvorzukommen, 
werden in einer Verfugbarkeitsliste u. a. die Tasks ein- 
getragen, die bei Aktivierung der wartenden Standby- 
Task 10 evtl. beendet werden mussen. Wahrend in der 
Regei die Standby-Task 1 0 identisch der aktiven Task 6 
ist, ist es aitemativ moglich, einer aktiven Task 8 als 
Standby-Task 10 eine spezielle "Notfall-Task" zuzuord- 
nen, die bis zur Reparatur des Systems 7, auf dem die 
aktive Task 8 lief, die Prozessbearbeitung mit vermin- 
derter Leistung durchfuhrt Oder sogar die Bearbeitung 
"sanft" herunterfShrt. Je nach Art der Standby-Task 10 
ist eine Datenaktualisierung 42 durchzufuhren Oder 
nicht. 

[0025] Fur jede Task 8, 1 0 wird auf beiden Systemen 
7, 9 in der Verfugbarkeitsliste vermerkt, ob sie eine ak- 
tive Task 8 ist, der eine Standby-Task 10 auf einem an- 
deren System zugeordnet ist und ob eine Datenaktua- 
lisierung 42 erfolgen soil, sie eine Standby-Task 1 0 ist, 
die nach ihrem Start auf die Fortsetzung bei Ausfall der 
auf einem anderen System 7 zugeordneten aktiven Ta- 
sk 8 wartet und ob eine Datenaktualisierung 42 erfolgen 
soli, 6b sie nur eine lokale Task ohne Standby ist, die 
bei Fortsetzung wartender Standby-Tasks beendet wer- 
den soli, und ob das System 7, 9, auf dem die zugeord- 
nete aktive Task 8 oder Standby-Task 10 gestartet ist, 
bereitsteht oder fehlerbedingt nicht verfugbar ist. 
[0026] Die Verwaltung der systemspezifischen Ver- 
fugbarkeitslisten wird von lokalen Verwaftungstasks 47, 
48 vorgenommen (s. Figur 3). Die systemspezifischen 
Verwaftungstasks 47, 48 sorgen uber einen gegenseiti- 
gen Informationsaustausch fur eine globale Konsistenz 
der Listeneintrage. Auf entsprechende externe Kom- 
mandos 54 hin initiieren die Verwaftungstasks 47, 48 



den Beginn des Austausches von Lebensuberwa- 
chungsmeldungen 53, die Datenaktualisierung 42 
durch die Datenaktualisierungstasks 43, 44 und auch 
die explizrte Verteitung von Tasks zwischen den beiden 

5 Systemen (s. Figur 3). 

[0027] Nach Ausfall eines Systems 7 und Fortsetzung 
der Standby-Task 1 0, die dem durch den Systemausfail 
bedingten Ausfall der aktiven Task 8 zugeordnet ist, wird 
das ausgefallene System 7, sofem es nicht bereits 

10 durch den Ausfall deaktiviert wurde, deaktiviert. Mit der 
Umschaltungsaktivierung wird auch die der aktiven Ta- 
sk 6 zugeordnete dezentral angeschlossene Peripherie 
zum Standby-System 9 bzw. zur nun aktiven Task 10 
umgeschaltet. 

is [0028] Nach Behebung der Ausfall ursache kann das 
System 7 wieder als Standby-System bereitgestellt wer- 
den. Zu diesem Zweck wird neben den lokalen Tasks, 
die vor dem Ausfall aktive Task 8 ais Standby-Task 10 
gestartet. Das wiederhergesteltte System 7 wird an- 

20 schlieBend dem anderen System 9 als wieder verfugbar 
gemeldet. Der Austausch der Lebensuberwachungs- 
meldungen 53 zwischen den beiden Systemen 7, 9 wird 
auf beiden Systemen 7, 9 wieder aktiviert und - sofern 
vereinbart - beginnt die Datenaktualisierung 42 der 

25 Standby-Task. 

[0029] Die Verfugbarke its listen werden im Rahmen 
der Wiedereingliederung des reparierten Systems 7 ex- 
plizrt und implizit aktualisiert. Sie geben auf beiden Sy- 
stemen jeweils taskspezifisch den aktuellen Systemzu- 

30 stand wieder. 

[0030] Urn taskspezifisch den gleichen Systemzu- 
stand wieder zu erreichen, wie er vor einer ausfallbe- 
dingten Umschaltung (failover) gegeben war, ist es 
moglich, taskspezifisch eine explizite Umschaltung (fail- 

35 back) im laufenden Betrieb ("on the fly") zu initiieren. 
Diese Umschaltung wird systemintern unmittelbar nach 
der Datenubergabe (s. Figur 2) durchgefuhrt, so dass 
bei der Fortsetzung der Standby-Task 1 0 keine Bearbei- 
tungssequenz wiederholt werden muss - befehlsge- 

40 naue Umschaltung. 

[0031 ] Die taskspezifisch zu inrtiierende Umschaltung 
erlaubt eine beliebige Verteilung der Bearbertungspro- 
gramme zwischen den Systemen 7, 9. Insbesondere 
zur Optimierung systemspezifischer Bearbeitungsla- 

45 sten bietet sich diese Moglichkert an. 

[0032] Damit der Transfer der Lebensuberwachungs- 
meldungen 53, der programmspezifischen Aktualisie- 
rungsdaten und der Daten zur Aktualisierung der Ver- 
fugbarkeitslisten nicht von applikationsspezifischen 

so Kommunikationstransfers beeinflusst wird, wird fur die- 
se interne Kommunikation zwischen den Systemen ein 
eigener Kommunikationsbus (Verfugbarkeitsiink) ein- 
gerichtet. Urn gegen einen Ausfall der Kommunikations- 
strecke geschutzt zu sein, kann ein redundanter Kom- 

55 munikationsbus vorgesehen werden. 

[0033] Die Vorgehensweise, zu einer aktiven Task 8 
auf einem System A 58 eine wartende Standby-Task 1 0 
auf einem System B 59 vorzusehen, das bei Ausfall der 
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aktiven Task 8 auf System A 58 die Bearbeitung mit ak- 
tuellsten Programmdaten ohne Unterbrechung des zu 
steuemden Oder zu regelnden Anwenderprozesses 1 
fortsetzt, lasst sich (siehe Figur 4) auf n atctive und n 
Standby-Tasks, die beliebig auf m miteinander verbun- 
denen Systeme 58, 59, 60 verteilt sind, erweitem. Auf 
jedem System 58, 59, 60 eines solchen Verbundes k6n- 
nen beliebig viele lokale, aktive und Standby-Tasks ge- 
startet sein. Die Begrenzung ist einzig von der Lei- 
stungsfahigkeit der Systeme 58, 59, 60 und der Kom- 
munikationsleistung insbesondere fur die interne Da- 
tenaktuatisierung abhangig. Ein Verbund von Rechnern 
58, 59, 60, bei dem ein Oder mehrere Systeme bei Be- 
darf die Aufgaben eines anderen Systems ubemehmen, 
wird auch als Last- und Verfugbarkeitsverbund bezeich- 
net. 

[0034] Die Zeit fur die qurttierte Datenaktuaiisierung 
zur Standby-Task darf die geforderte Zykluszeit fur die 
aktive Task nicht beeinflussen. 
[0035] Bei Ausfall der aktiven Prozessbearbeitungs- 
task 8 setzt der Qbemehmende Rechner 9 die identi- 
sche - aber wartende - Standby- Prozessbearbertungs- 
task 10 mit dem Einlesen der aktuellen Eingabedaten 
fort (roll forward). Auf Basis dieser Werte und den vor- 
iiegenden, aktuellsten Ausgabewerte und Variablen- 
werte werden die neuen Ausgaben errechnet. Die aktu- 
ellen Daten des jeweils ietzten Zyklus werden der war- 
tenden Standby-Task 10 von einer Aktualisierungstask 
43, 44 aus den Datenbereichen 40 der aktiven Task in 
die entsprechenden Datenbereiche 41 eingefugt ("un- 
tergeschoben"). 

[0036] Die erfindungsgemaBe warmer standby-Lo- 
sung ist bei vielen Anwendungen fur eine schnelle Fort- 
setzung der Automatisierungstask auf einem Ersatzsy- 
stem 9 vorteilhaft anwendbar. 

[0037] Im Gegensatz zu einer synchronen, parailelen 
Bearbeitung der Steuerungstask auf dem (hot) Stand- 
by-Rechner, ist der Ersatzrechner 9 bei der warmer (und 
auch bei der cold- bzw. warm-) Standby-Losung nicht 
mit einer zum aktiven System 7 absolut parailelen Be- 
arbeitung ausgelastet, sondern kann anderweitige Auf- 
gaben durchfuhren. Dadurch, dass das Ersalzsystem 9 
in einem anderen internen Systembearbeitungszustand 
ist als das aktive System 7, konnen im Gegensatz zu 
einer hot standby- Losung keine Software-Fehler, die 
abhangig von einem spezif ischen Systembearbeitungs- 
zustand auftreten, zu einem Ausfall beider Systeme 7, 
9 fuhren. 

[0038] Zusammenfassend betrifft die Erfindung somit 
ein hochverfugbares Rechnersystem 6 sowie ein Ver- 
fahren zur Umschaltung von Bearbeitungsprogrammen 
eines hochverfugbaren Rechnersystems 6. Das Rech- 
nersystem 6 besteht aus mindestens einem ersten 7 
und mindestens einem zweiten 9 Rechner. Auf dem er- 
sten Rechner 7 ist mindestens ein erstes Steuerungs- 
programm 8 geladen, das zur Erfassung, Verarbeltung 
und/oder Ausgabe von Prozess-1 7, 40 und/oder Steue- 
rungsdaten 19 von und/oder an ein Automatisierungs- 



system vorgesehen ist. Auf dem zweiten Rechner 9 ist 
mindestens ein zum ersten Steuerungsprogramm 8 
identisches zweites Steuerungsprogramm 10 geladen, 
das an einer vorgebbaren Programmstelle wartet. Wei- 

5 ter sind auf dem ersten 7 und auf dem zweiten 9 Rech- 
ner je ein Datenaktualisierungsprogramm 42 geladen 
und gestartet, die die aktuellen Datenwerte des ersten 
Steuerungsprogramms 8 des ersten Recti ners 7 an ei- 
ner vorgebbaren Programmstelle erfassen, an den 

io zweiten Rechner 9 ubertragen und an den entsprechen- 
den Stellen im Programmablauf und in reservierten 
Speicherbereichen 41 des zweiten wartenden Steue- 
rungsprogramms 10 hinteriegen. 

15 

Patentanspruche 

1 . Hochverfugbares Rechnersystem (6) insbesondere 
zur Steuerung, Regelung und/oder Beobachtung 

20 eines technischen Prozesses (1) eines Automati- 
sierungssystems, mit mindestens einem ersten (7) 
und einem zweiten (9) Rechner, wobei auf dem er- 
sten Rechner (7) mindestens ein enstes Steue- 
rungsprogramm (8) zur Erfassung, Verarbeitung 

25 und/oder Ausgabe von Prozess(17, 40) und/oder 
Steuerungsdaten (19) von und/oder an das Auto- 
matisierungssystem geladen ist und wobei auf dem 
zweiten Rechner (9) mindestens ein zum ersten 
Steuerungsprogramm (8) identisches zweites 

30 Steuerungsprogramm (1 0) geladen ist, das an einer 
vorgebbaren Programmstelle wartet, wobei auf 
dem ersten (7) und auf dem zweiten (9) Rechner 
mindestens ein Datenaktualisierungsprogramm 
(42) geladen und gestartet ist, das die aktuellen Da- 

35 tenwerte des ersten Steuerungsprogramms (8) des 
ersten Rechners (7) an einer vorgebbaren Pro- 
grammstelle erfasst, an den zweiten Rechner (9) 
ubertragt und an den entsprechenden Stellen im 
Programmablauf und in reservierten Speicherbe- 

40 reichen des zweiten wartenden Steuerungspro- 
gramms (10) hinterlegt. 

2. Rechnersystem nach Anspruch 1 , 
dadurch gekennielchnet, 

45 dass der zweite Rechner (9) nicht fur eine zur Be- 
arbeitung des ersten Steuerungsprogramms (8) 
parailelen Bearbeitung des zweiten Steuerungs- 
programms (10) vorgesehen ist. 

so 3. Rechnersystem nach Anspruch 1 oder 2, 
dadurch gekennzefchnet, 
dass auf dem ersten (7) und auf dem zweiten (9) 
Rechner ein Uberwachungs- und Verwaltungspro- 
gramm (46, 50) geladen und gestartet ist, das zur 

55 Detektion eines Ausf alls des ersten Steuerungspro- 
gramms auf dem ersten Rechner (7), zur Veranlas- 
sung einer Fortsetzung der Bearbeitung des zwei- 
ten Steuerungsprogramms (8) an der vorgebbaren 
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Programmstelle und zur Umschattung der Daten- 
ausgabe vom ersten Rechner (7) an den zweiten 
Rechner (9) vorgesehen ist. 

4. Rechnersystem nach einem der AnsprOche 1 bis 3, 
dadurch gekennzeichnet, 

dass die Programmstelle (32) an der das zweite 
Steuerungsprogramm wartet unmitteibar nach dem 
Einsprung in den Bearbeitungszyklus tiegt, d. h. vor 
der Hinteriegung der aktuellen Datenwerte des er- 
sten Steuerungsprogramms (8) des ersten Rech- 
ners (7) in den reservierten Speicherbereichen des 
zweiten Steuerungsprogramms (10). 

5. Rechnersystem nach einem der Anspruche 1 bis 4, 
dadurch gekennzeichnet, 

dass das Uberwachungs- und Verwaltungspro- 
gramm (46, 50) zur Verwattung von VerfQgbarkeits- 
listen vorgesehen ist, wobei die Verfugbarkeits li- 
sten Vermerke daruber enthalten, 

weiches Steuerungsprogramm bei Fortsetzung 
der Bearbeitung des zweiten Steuerungspro- 
gramms (1 0) beendet werden muss, 
ob dem ersten Steuerungsprogrammen (8) das 
wartende zwerte Steuerungsprogramme (10) 
auf dem zweiten Rechner (9) zugeordnet ist, 
ob das zweite Steuerungsprogramm (10) ein 
wartendes Steuerungsprogramm ist, 
ob eine Datenaktualisierung erfolgen soli und 
ob die Rechner (7, 9) bereitstehen oder fehler- 
bedingt nicht verfugbar sind. 

6. Rechnersystem nach einem der Anspruche 1 bis 5, 
dadurch gekennzeichnet, 

dass zur Optimierung systemspezif ischer Bearbei- 
tungslasten eine nicht ausfallbedingte Umschal- 
tung zwischen der Bearbeitung des ersten (8) und 
des zweiten (10) Steuerungsprogramms im lauf en- 
den Betrieb vorgesehen ist, wobei die Umschattung 
unmitteibar nach der Hinteriegung der aktuellen 
Datenwerte des ersten Steuerungsprogramms (8) 
des ersten Rechners (7) in den reservierten Spei- 
cherbereichen des zweiten wartenden Steuerungs- 
programms (10) vorgesehen ist. 

7. Verfahren zur Umschaltung von Bearbeitungspro- 
grammen eines hochverfugbaren Rechnersystems 
(6), insbesondere zur Steuerung, Regelung und/ 
oder Beobachtung eines technischen Prozesses 
(1) eines Automatisierungssystems, mit minde- 
stens einem ersten (7) und einem zweiten (9) Rech- 
ner, wobei auf dem ersten Rechner (7) mindestens 
ein erstes Steuerungsprogramm (8) zur Erfassung, 
Verarbeitung und/oder Ausgabe von Prozess(17, 
40) und/oder Steuerungsdaten (19) von und/oder 
an das Automatisierungssystem geladen ist und 
wobei auf dem zweiten Rechner (9) mindestens ein 



zum ersten Steuerungsprogramm (8) identisches 
zweites Steuerungsprogramm (10) geladen ist, das 
an einer vorgebbaren Programmstelle wartet, wo- 
bei auf dem ersten (7) und auf dem zweiten (9) 

5 Rechner mindestens ein Datenaktualislerungspro- 
gramm (42) geladen und gestartet ist, das die aktu- 
ellen Datenwerte des ersten Steuerungspro- 
gramms (8) des ersten Rechners (7) an einer vor- 
gebbaren Programmstelle erfasst, an den zweiten 

10 Rechner (9) ubertragt und an den entsprechenden 
Stellen im Programmablauf und in reservierten 
Speicherbereichen des zweiten wartenden Steue- 
rungsprogramms (1 0) hinteriegt. 

15 8. Verfahren nach Anspruch 7, 
dadurch gekennzeichnet, 
dass der zweite Rechner (9) nicht fur eine zur Be- 
arbeitung des ersten Steuerungsprogramms (6) 
parallelen Bearbeitung des zweiten Steuerungs- 

20 programms (1 0) vorgesehen ist. 

9. Verfahren nach Anspruch 7 oder 8, 
dadurch gekennzeichnet, 
dass auf dem ersten (7) und auf dem zweiten (9) 
25 Rechner ein Uberwachungs- und Verwaltungspro- 
gramm (46, 50) geladen und gestartet ist, das zur 
Detektion eines Ausfalls des ersten Steuerungspro- 
gramms auf dem ersten Rechner (7), zur Veranlas- 
sung einer Fortsetzung der Bearbeitung des zwei- 
30 ten Steuerungsprogramms (8) an der vorgebbaren 
Programmstelle und zur Umschaltung der Daten- 
ausgabe vom ersten Rechner (7) an den zweiten 
Rechner (9) vorgesehen ist. 

35 10. Verfahren nach einem der Anspruche 7 bis 9, 
dadurch gekennzeichnet, 
dass die Programmstelle (32) an der das zweite 
Steuerungsprogramm wartet unmitteibar nach dem 
Einsprung in den Bearbeitungszyklus liegt, d. h. vor 
40 der Hinteriegung der aktuellen Datenwerte des er- 
sten Steuerungsprogramms (8) des ersten Rech- 
ners (7) in den reservierten Speicherbereichen des 
zweiten Steuerungsprogramms (1 0). 

^5 11. Verfahren nach einem der Anspruche 7 bis 1 0, 
dadurch gekennzeichnet, 
dass das Uberwachungs- und Verwaltungspro- 
gramm (46, 50) Verfugbarkeits listen verwaltet, wo- 
bei die Verfugbarkeitslisten Vermerke daruber ent- 
50 halten, 

welches Steuerungsprogramm bei Fortsetzung 
der Bearbeitung des zweiten Steuerungspro- 
gramms (10) beendet werden muss, 
55 - ob dem ersten Steuerungsprogrammen (8) das 
wartende zweite Steuerungsprogramme (10) 
auf dem zweiten Rechner (9) zugeordnet ist, 
ob das zweite Steuerungsprogramm (10) ein 
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wartendes Steuerungsprogramm ist, 
ob eine Datenaktualisierung erfotgen soil und 
ob die Rechner (7, 9) bereitstehen oder fehler- 
bedingt nicht verfugbar sind. 

5 

12. Verfahren nach einem der Anspriiche 7 bis 11, 
dadurch gekennzeichnet, 
dass zur Optimierung systemspezif ischer Bearbei- 
tungslasten zwischen der Bearbertung des ersten 
(8) und des zwelten (1 0) Steueaingsprogramms im to 
laufenden Betrieb ohne Voriiegen eines Ausfalls 
der Rechner (7, 9) umgeschaltet wird, wobei unmit- 
telbar nach der Hinterlegung der aktuellen Daten- 
werte des ersten Steuerungsprogramms (8) des er- 
sten Rechners (7) in den reservierten Speicherbe- is 
reichen des zweiten wartenden Steuerungspro- 
gramms (10) umgeschaltet wird. 
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